홈 > Privacy Guide >Privacy 컬럼
제목 IoT시대의 개인정보보호 대응 방향
닉네임 배찬호 작성일 2014-12-01 오후 5:40:48 인기도

IoT시대의 개인정보보호 대응 방향

 

안전한 개인정보 유통을 위해 정부와 기업이 끊임 없는 개선노력과 투자를 하고 있음에도 불구하고 매해마다 개인정보유출 사고는 지속적으로 반복되고 있다. 엎친 데 덮친 격으로 가까운 미래에는 스마트TV, 스마트자동차, 스마트 보일러 등 주위에 있는 모든 사물들이 스마트라는 이름으로 인터넷으로 연결되는 사물인터넷(Internet of Things) 시대가 다가 오고 있다. 요즘 CF를 보면보일러를 집에서만 켜고 끄던 때도 있었지, 이젠 밖에서도 컨트롤 하는 보일러~” 라는 광고 카피만 봐도 기기 독립적으로 움직이고 있던 것들이 인터넷과 결합되어 삶을 편하게 하는 사물인터넷이 어느덧 우리 생활 깊숙이 들어왔다고 볼 수 있다. 이러한 IT와 결합된 사물들은 작게는 보일러 컨트롤 정보부터 의료기기의 환자 의료정보, 자동차 차량 통제 정보 등 우리 삶에 직접적인 영향을 미칠 수 있는 중요한 정보들을 활용하고 있다. 우리 생명에 영향을 줄 수 있는 이러한 정보는 당연히 보호해야 할 대상이 된다. 사물인터넷의 기기들은 초 경량, 저전력이라는 특성을 가지고 있어서 한번 도입되면 패치와 같은 사후 보안조치가 어렵고 보안 조치 시 고가의 비용이 수반되는 특징을 가지고 있다. 하지만, 그 피해는 정보유출, 금전피해 정도에 그치지 않고, 인간 생명에 직접적으로 위협을 줄 수 도 있다.

IoT 보안침해사고사례는 벌써부터 감지되고 있다. 미국보안전문업체인 프루프포인트가 밝힌 자료에 따르면 스마트TV, 냉장고를 해킹하여 작년 말부터 올해 초까지 전세계에서 75만건의 피싱과 스팸메일이 발송되었다고 밝혔다. 가전제품들도 사이버 공격에 활용되기 시작했다는 증거이기도 하다. 이런 사이버 공격을 통해 발송된 악성 이메일중 25% 이상은 전통적인 IT기기로 사용되던 노트북, PC, 모바일 기기가 아닌 IoT로 대표되는 스마트가전제품이 발송한 것으로 확인되었다.

그러면 사물인터넷과 같은 컴퓨팅 환경이 가져오는 편리함 이면에 존재하는 사생활 침해 등의 정보보호 이슈를 해결하기 위해서 우리는 어떠한 노력을 해야 할까?

첫째, 개인정보 관련법규에 대한 정비가 필요하다.

개인정보보호법, 정보통신망법, 신용정보보호법, 위치정보법 등 개인정보보호를 위한 법률은 사물인터넷에는 적합하지 않다. 예를 들어 정보통신망법 22조의 경우 개인정보처리자는 개인정보 수집과 이용에 있어 정보를 소유한 주체로부터 사전동의를 원칙으로 하고 있다.  따라서 정보주체로부터 특정사항을 고지하거나 직접 동의를 얻는 것이 불가능한 사물인터넷 분야에서는 현행법을 그대로 적용할 수 없게 되고 신 성장사업의 발전을 저해하는 요인이 될 수 있으므로 현실에 맞게 법률 정비가 필요하다.

둘째, 설계단계부터 보안이 내재화될 수 있도록 철저한 환경, 특성 분석 및 보안 대책 설계가 필요하다.

IoT는 일반 IT 보안과는 달리 세 계층(인식 계층, 전송 계층, 응용 계층)으로 나눌 수 있다. 각 계층에서의 보안 이슈를 분석하여 그 문제점과 해결 방안을 모색해야 한다. 또한 계층간 이질적 통합이슈를 제시하고 IoT보안 이슈를 통합적으로 분석해야 한다.

IoT에 적용되는 하드웨어들은 샘플링 비율이나 오류 분포 등 서로 다른 운영상의 특징들을 가지고 있으며 IoT 내의 센서와 액추에이터는 다루기가 매우 복잡하다. 또한, IoT 응용 프로그램의 경우 시간, 메모리, 처리, 에너지 소비 등의 여러 제약으로 인하여 구현이 힘든 경우가 많다.  IoT는 복잡하고 이질적인 네트워크에서 방대한 양의 원시 데이터를 전송해야 하기 때문에, 데이터 크기를 줄이기 위한 데이터 압축 및 데이터 융합이 필수인 환경이다. 보안 대책의 설계 시 IoT 환경의 특성을 반영하지 않고 일반 IT 환경의 보안대책을 그대로 적용한다면, 형식적인 보안 대책의 구현을 초래할 것이다.

셋째, IoT 특성에 맞는 보안기술이 개발될 수 있도록 해야 한다.

보안기술은 다양한 영역이 있지만 여기서는 가장 핵심적인 인증기술에 대해서 언급하고자 한다. IoT환경에서는 기기인증과 기기를 사용하는 사용자인증 두 가지로 나눌 수 있다.

기기간 인증은 특성 상 전통적인 패스워드 방식은 사용할 수 없기 때문에 기기 인증을 위해 인증서를 기기에 설치하여 인증 시 활용하는 인증서기반 인증기술이 많이 사용되고 있다. 하지만 인증서 노출의 위험과 인증서 보관방법에 대한 보안 이슈로 인해 최근에는 기기 인증을 위해 IC회로 특성 값을 이용하여 기기를 인증하는 기술연구가 활발히 진행 중이다.

사용자 인증은 기기와 사용자를 연결시켜주기 위한 인증 기술로 보통 패스워드나 PIN코드 등을 사용하지만 이는 단순인증으로 인해 보안에 취약하다는 평가를 받는다. 이를 개선하기 위하여 최근에는 지문과 같은 생체인증을 도입하고 있고, Nymi라는 웨어러블 스마트키는 심전도센서를 이용하여 사람마다 상이한 심장박동을 인식하고 각종 기기와 연결하여 비밀번호를 대신한다고 한다. 이렇듯 기존의 IT 환경이 아닌 IoT 기기의 특성을 고려한 보안기술이 개발되어야 할 것이다.

지난 30일 미래창조과학부는 일상생활에 다가온 IoT의 보안강화를 위한 IoT 정보보호 로드맵을 수립했다고 밝혔다. 다가올 IoT 시대에 대한민국이 보안강국으로 도약하길 기대해 본다.

 

배찬호 / 현대오토에버 이사 

파일
 
 
번호 제목 작성자 작성일 인기도 파일
  256   포스트 코로나19 시대, 개인정보..   손승원   2020-08-06  
   
  255   우리 사회가 추구하는 보안   박철광   2020-06-26  
   
  254   마이데이터 사업-데이터의 활용과..   김선희   2020-06-08  
   
  253   코로나 사태, 개인건강정보 보호..   이재호   2020-05-04  
   
  252   코로나 위기 극복 과정과 사이버..   윤혜정   2020-04-16  
   
  251   개인정보보호 담당자에게 필요한..   신용석   2020-04-14  
   
  250   바이러스가 소환한 프라이버시의..   박종섭   2020-04-01  
   
  249   개인정보 보호책임자 지정 관련 ..   이진규   2020-03-20  
   
  248   코로나19, 기생충, 그리고 보안   김정덕   2020-02-25  
   
  247   ‘데이터 3법’ 둘러싼 갈등 해소..   박영숙   2020-02-24  
   
  1   2   3   4   5   6   7   8   9   10